Vous êtes ici :
- Inicio
- Apéndice Protección de datos personales
Apéndice Protección de datos personales
1. Asunto
De conformidad con el artículo 14 de las Condiciones Generales de Venta de Kosmos, el presente Anexo tiene por objeto exponer los compromisos de Kosmos, incluidas las medidas técnicas y organizativas que ha adoptado para garantizar la protección de los datos personales del Cliente y que el tratamiento objeto del Contrato se ajusta a la normativa aplicable (Reglamento nº 2016-679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).normativa aplicable (Reglamento n.º 2016-679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). la libre circulación de dichos datos que deroga la Directiva 95/46/CE ("RGPD") y la Ley nº 78-17 de 6 de enero de 1978 modificada (en adelante, conjuntamente, "Reglamentos"). Kosmos no será responsable de cualquier negativa por parte de Kosmos al Proceso que infrinja los Reglamentos. El presente Apéndice se acuerda de conformidad con el artículo 28 del GDPR.
2. Definiciones
Salvo que se indique lo contrario, las definiciones contenidas en el RGPD, en particular los términos "Responsable del tratamiento", "Encargado del tratamiento", "Fines", "Destinatarios", "Interesado", "Estado miembro", " Datos personales", "Violación de datos personales", "Tratamiento" y "Autoridad de control", serán de aplicación. " Datos personales" en este contexto significa cualquier dato personal, tal como se define en el GDPR, procesado por Kosmos en nombre del Cliente de conformidad con o en relación con el Contrato. Dichos Datos Personales incluyen, como se especifica en el Subapéndice 1, los Datos Personales recopilados, procesados o alojados por Kosmos como Subcontratista del Cliente en relación con la ejecución de los Servicios Contratados. Además, Kosmos podrá recoger y tratar Datos Personales de los empleados del Cliente como Encargado del Tratamiento en relación con la formación y seguimiento del Contrato.
3. Cualificación de las partes
El presente Anexo cubre todos los Servicios prestados por Kosmos, ya sean (i) Servicios SaaS, (ii) Servicios informáticos recurrentes (Soporte, TMA) o Servicios puntuales, y de forma más general cualquier intervención de Kosmos sobre los Datos Personales del Cliente.
Cuando los Datos Personales se procesen o alojen en servidores o sistemas de información de Kosmos, se aplicarán las medidas técnicas y organizativas descritas en el subanexo 2. Si los Datos Personales se procesan o alojan en el sistema de información del Cliente o de un tercero bajo su responsabilidad, el Cliente será el único responsable deLa responsabilidad de Kosmos se limita a la protección de los Datos Personales tratados por sus empleados en relación con los Servicios.
A los efectos del presente Apéndice, Kosmos es el Subcontratista del Cliente, que es el Responsable del Tratamiento. En el Subapéndice 1 se detallan (i) las Finalidades del Tratamiento encomendadas a Kosmos, (ii) las categorías de Datos Personales tratados por Kosmos(ii) las categorías de Datos Personales tratados por Kosmos, (iii) las categorías de Titulares afectados por el Tratamiento y (iv) los plazos de supresión (periodo de conservación) de los Datos Personales por parte de Kosmos. Es responsabilidad del Cliente identificar a los terceros destinatarios a los que puedan enviarse Datos Personales y proporcionar a Kosmos los detalles de dichos destinatarios.
Kosmos no es responsable de la protección de los Datos Personales por parte de dichos destinatarios y el Cliente así lo reconoce.
En caso de modificación del Tratamiento, las Partes acordarán las modificaciones del Subanexo 1 necesarias para cumplir los requisitos del Reglamento.
Salvo que exista una base jurídica independiente aplicable a Kosmos como Responsable del Tratamiento, Kosmos únicamente tratará los Datos Personales definidos en el Subanexo 1para los Fines establecidos en el Subanexo 1, en relación con los Servicios prestados por Kosmos según lo establecido en el Contrato y el Tratamiento relacionado únicamente con dichos Servicios.
4. Cómo trata Kosmos los datos personales
Kosmos se compromete a tratar los Datos Personales en virtud del Contrato únicamente (i) de conformidad con las instrucciones documentadas del Cliente, (ii) en cumplimiento y dentro de los límites de los Fines establecidos, (iii) en cumplimiento de las medidas técnicas y organizativas descritas en el presente Apéndice, y (iv) durante el(los) periodo(s) de conservación estipulado(s).(iii) en cumplimiento de las medidas técnicas y organizativas descritas en este Apéndice, y (iv) durante el(los) periodo(s) de conservación estipulado(s).Kosmos aplica las medidas técnicas y organizativas adecuadas para (i) evitar el tratamiento no autorizado o ilícito de los Datos Personales, (ii) evitar la pérdida, destrucción o daño accidental de los Datos Personales, (iii) garantizar la concienciación y formación de sus empleados, y (iv) garantizar la confidencialidad de los Datos Personales.(iv) garantizar que sólo tengan acceso a los Datos Personales aquellos de sus empleados y cualesquiera subcontratistas que necesiten conocer los Datos Personales en el contexto de los Servicios. Las medidas de seguridad técnicas y organizativas aplicadas se describen en el subanexo 2 (en lo sucesivo, las "Medidas").
Reconociendo que las Medidas están sujetas al progreso y desarrollo técnicos, las Partes acuerdan que Kosmos tiene derecho a introducir mejoras en las Medidas, siempre que dichas Mejoras no entren en el ámbito de las Medidas. siempre que dichas Medidas no estén por debajo del nivel de seguridad establecido en el Subanexo 2 y sean conformes con el estado de la técnica. Kosmos facilitará al Cliente una descripción de cualquier modificación significativa de las Medidas.
En la medida en que el Contrato se refiera al suministro por parte de Kosmos de una Solución de Software, Kosmos tendrá en cuenta los principios de seguridad, confidencialidad, minimización y protección de datos personales desde el momento de su concepción o en el curso de su desarrollo técnico.
Cuando Kosmos realice un Servicio en el sistema de información del Cliente, éste será el único responsable de las medidas técnicas, organizativas y de seguridad relativas a los Datos Personales almacenados en su sistema de información.Kosmos y el Cliente acuerdan una política de gestión de accesos para los empleados de Kosmos teniendo en cuenta los requisitos del Reglamento.
5. Gestión de los derechos de los interesados
Las Partes reconocen y aceptan que es responsabilidad legal del Cliente, como Responsable del Tratamiento, atender las solicitudes de los Titulares relativas a sus derechos sobre sus Datos Personales definidos en el Reglamento (derecho de información, acceso, rectificación, supresión, oposición, limitación, portabilidad o revocación del consentimiento, en su caso), en relación con el Tratamiento de Datos Personales efectuado, sin que Kosmos sea responsable de tales solicitudes.La propia Kosmos no está obligada a responder directamente a dichas solicitudes, salvo que se requiera lo contrario por instrucciones documentadas del Cliente.Cuando el Cliente tenga acceso directo a los Datos Personales de los Titulares de los Datos (por ejemplo, en el caso de la provisión de una Solución), el propio Cliente atenderá las solicitudes de los Titulares de los Datos de conformidad con los procedimientos determinados por el Cliente bajo su responsabilidad. El Cliente podrá solicitar por escrito la asistencia de Kosmos para identificar los Datos Personales y tramitar las solicitudes.
Si Kosmos recibe directamente la solicitud de un Titular de los Datos en relación con los Servicios, Kosmos remitirá sin demora la solicitud al Cliente para que éste adopte una decisión y dé una respuesta. En todo caso, el Cliente será el único responsable de la adecuación de la respuesta que deba darse al Interesado, de establecer su identidad, de solicitar información adicional, deEn todos los casos, el Cliente es el único responsable de la adecuación de la respuesta que deba darse al Interesado, de establecer su identidad, de solicitar información adicional, de identificar las posibles excepciones a la solicitud, o de negarse a atender la solicitud por motivos legítimos que el propio Cliente determine y comunique al Interesado.
En caso de disputa con un Titular de los Datos u otra acción emprendida por un Titular de los Datos en relación con el Tratamiento de Datos Personales por parte de Kosmos, el Cliente informará a Kosmos lo antes posible y Kosmos cooperará y proporcionará al Cliente toda la información pertinente.
6. 6. Tratamiento de las violaciones de datos personales
Kosmos se compromete a implantar un sistema para detectar cualquier violación de Datos Personales que pueda producirse en su sistema de información en relación con los Servicios. En caso de que se produzca una violación de los datos personales en el ámbito de sus operaciones, Kosmos se compromete a (i) notificarlo al responsable del tratamiento lo antes posible, (ii) aplicar cualquier solución correctiva para limitar o eliminar la violación de los datos personales, e (iii) investigar los motivos de la violación de los datos personales.
Cuando sea apropiado y posible, la notificación de Kosmos al Cliente incluirá la información requerida por el artículo 33 del GDPR para identificar(i) la naturaleza de la Violación de Datos Personales, (ii) las categorías de Datos Personales y el/los Tratamiento(s) implicado(s), (iii) el número y categorías de Sujetos de Datos(iii) el origen y las consecuencias previsibles de la violación para los interesados, y (iv) las medidas adoptadas para poner fin a la violación de los datos personales e intentar limitar o eliminar sus consecuencias. En su defecto, Kosmos indicará cuándo se facilitará más información, en particular en caso de investigación técnica por parte de Kosmos o de su subcontratista posterior. En este contexto, Kosmos no tiene derecho a notificar una violación de datos personales directamente a la autoridad supervisora, a los interesados o a otros terceros, a menos que Kosmos esté obligado a hacerlo por la legislación aplicable. Aparte de estos casos, es responsabilidad exclusiva del Cliente, como Responsable del tratamiento, decidir y realizar las notificaciones necesarias, por cualquier medio de su elección, a la Autoridad de Control, y a los Interesados en caso de riesgo para sus derechos y libertades según determine el Responsable del tratamiento.
7. Asistencia al responsable del tratamiento
Kosmos notificará por escrito al Cliente si se pone de manifiesto que existe una discrepancia entre las necesidades expresadas por el Responsable del tratamiento en virtud del Acuerdo y los requisitos del Reglamento. No obstante, Kosmos no podrá ser considerado responsable de (i) el incumplimiento del Tratamiento por parte del Responsable o (ii) la no detección de un incumplimiento que no sea grave y evidente.
Kosmos asistirá al Responsable del tratamiento (i) respondiendo a las preguntas orales o escritas del Responsable relativas al Tratamiento, (ii) en caso de solicitud o investigación por parte de una Autoridad de Control y (iii) en caso de reclamación por parte del Responsable del tratamiento.(ii) en caso de solicitud o investigación por parte de una Autoridad de Control y (iii) en caso de realización previa de un análisis de impacto sobre el alcance del Tratamiento en cuestión. A tal efecto, Kosmos facilitará al Cliente la documentación relativa al cumplimiento de los compromisos asumidos en virtud del presente Anexo.
En caso necesario, Kosmos recordará al Cliente que el tratamiento de datos personales incluye datos "especiales" en el sentido del Rèse prohíbe el tratamiento de datos de personas "vulnerables", como los menores, o el tratamiento de datos personales a gran escala, o la elaboración de perfiles de comportamiento. o la elaboración de perfiles comportamentales, puede exigirse un análisis de impacto previo, y Kosmos se compromete, en su caso, a colaborar en dicho análisis en relación con el alcance del Tratamiento que se le confíe por Contrato y los medios que despliegue a tal efecto.
8. Auditoría
Una (1) vez al año, previa notificación razonable por escrito, el Interventor podrá auditar la aplicación por parte de Kosmos de las Medidas establecidas en el presente Apéndice.(i) cualquier parte del sistema de información de Kosmos no cubierta por el presente Acuerdo, y(i) cualquier parte del sistema de información de Kosmos no cubierta por el Acuerdosecretos comerciales o empresariales de Kosmos, y (iv) de conformidad con la propiedad intelectual, los procedimientos de seguridad, la disponibilidad de los empleados y la producción normal de Kosmos.
Kosmos validará previamente la identidad del auditor y podrá descalificarlo si pertenece a una empresa competidora de Kosmos. El coste de la auditoría correrá a cargo del Cliente. Si en la auditoría se detectase algún incumplimiento de los compromisos de Kosmos, éste deberá subsanarlo a la mayor brevedad posible y enviará confirmación escrita de ello al Cliente. En cualquier caso, el informe de auditoría se remitirá por escrito a Kosmos para que formule sus observaciones.
9. Utilización de un subcontratista posterior
Kosmos podrá utilizar un tercer proveedor de servicios para realizar algunos o todos los Servicios (en lo sucesivo, el "Subcontratista"), siempre que el Subcontratista (i) cuente con la aprobación previa y expresa del Cliente, y (ii) proporcione a Kosmos un compromiso contractual de que el Subcontratista protegerá los Datos Personales del Cliente.(i) cuente con la aprobación previa y expresa del Cliente, y (ii) proporcione a Kosmos un compromiso contractual de que protegerá los Datos Personales en el curso de su trabajo de forma sustancialmente coherente con los requisitos del presente Apéndice.
En la fecha de la firma del Acuerdo, el Cliente queda informado y aprueba expresamente el uso de los siguientes Subcontratistas que figuran en el Subapéndice 1 para la realización del Tratamiento en cuestión. Cualquier uso posterior de otro Subcontratista posterior implicará el cumplimiento del siguiente procedimiento.
Kosmos notificará previamente por escrito al Cliente la propuesta de nombramiento de un nuevo Subcontratista, especificando el nombre, la dirección y los datos de contacto del Subcontratista.el nombre, la dirección y los datos de contacto del Subencargado posterior, así como los aspectos del Tratamiento de los que será responsable dicho Subencargado posterior y, en particular, si implica un flujo transfronterizo de Datos Personales. Si, en el plazo de ocho (8) días naturales desde la recepción de dicha notificación, el Cliente manifiesta por escrito objeciones legítimas y motivadas a la designación del Subencargado correspondiente, Kosmos informará por escrito a Kosmos de dichas objeciones.Kosmos debatirá con el Cliente las objeciones planteadas por éste y, en caso de que no se llegue a un acuerdo, Kosmos no designará al Subencargado propuesto. En caso contrario, el Subcontratista propuesto será aceptado por el Cliente.
Kosmos seguirá siendo responsable ante el Cliente de conformidad con los términos del Contrato en caso de incumplimiento por parte del Subcontratista de sus obligaciones en virtud del Contrato.
10. Gestión de los flujos transfronterizos de datos personales
Por defecto, Kosmos sólo tratará Datos Personales dentro del Espacio Económico Europeo ("EEE"). No obstante, en caso de que los Servicios (incluido cualquier uso posterior de un Subcontratista) impliquen una transferencia de Datos Personales fuera del EEE, Kosmos (i) mantendrá informado al Cliente y (ii) se asegurará en primer lugar de que dicha transferencia se lleve a cabo bajo salvaguardas que cumplan con los requisitos del Reglamento del EEE, tales como cláusulas contractuales de la Ley de Protección de Datos.como cláusulas contractuales tipo emitidas por la Comisión Europea o la Autoridad de Supervisión, normas corporativas vinculantes, una decisión de adecuación de la Autoridad de Supervisión o la Comisión Europea.Kosmos pondrá a disposición del Cliente que lo solicite una declaración de dichas disposiciones.
En la fecha de la firma del Acuerdo, el Cliente conoce y aprueba expresamente las transferencias establecidas en el subanexo 1 a efectos de llevar a cabo el Tratamiento en cuestión.
11. Datos personales de los empleados de las partes
En el marco de la celebración y gestión operativa y contable del Contrato, cada una de las Partes también podrá tener acceso a los Datos Personales de determinadas categorías de personas (firmante del Contrato por el Cliente, contactos operativos, contactos jurídicos, contactos contables, etc.). Cada una de las Partes se compromete, en calidad de Responsable del Tratamiento, a proteger y utilizar los Datos Personales de estos contactos de la otra Parte únicamente a efectos de la gestión del Contrato, y a aplicarles las medidas técnicas de organización adecuadas durante toda la duración del Contrato. Los Datos Personales de estos contactos serán suprimidos por cada Parte al término del Contrato, sin perjuicio de su conservación prolongada en caso de obligación legal de archivar o conservar pruebas.
12. Comunicación con la autoridad de control
Kosmos, en la medida en que lo permita la legislación aplicable, notificará sin demora al Cliente cualquier investigación, notificación u otro procedimiento que pueda estar relacionado con el Tratamiento por parte de Kosmos de los Datos Personales del Cliente por parte de una Autoridad de Control u otra autoridad pública. Cuando proceda, las Partes se asistirán mutuamente para garantizar una comunicación coherente con la Autoridad en relación con cualquier investigación por parte de esta última. En caso de litigio, requerimiento o multa impuesta o prevista por la Autoridad de Control o cualquier otra autoridad competente en relación con el Tratamiento de Datos Personales contra cualquiera de las Partes o contra la otra Parte, las Partes acuerdan cooperar entre sí.En caso de litigio, requerimiento o multa impuesta o prevista por la Autoridad de Control u otra autoridad competente en relación con el Tratamiento de Datos Personales contra una de las Partes o contra la otra, las Partes deberán informarse mutuamente sin demora con el fin de defenderse eficazmente contra estas acciones o resolverlas extrajudicialmente a su debido tiempo.
13. Destino de los datos personales al término del contrato
Kosmos conservará los Datos Personales del Cliente (i) durante el(los) periodo(s) especificado(s) por el Cliente en el Anexo 1, y (ii) si fuera necesario, durante toda la vigencia del Contrato más los plazos legales de prescripción y prueba.
Sin perjuicio de lo anterior, y en la medida en que sea necesario para prestar los Servicios, Kosmos eliminará los Datos Personales cuando haya expirado el plazo o plazos del Contrato.Sin perjuicio de lo anterior, y en la medida necesaria para la prestación de los Servicios, Kosmos suprimirá los Datos Personales (i) cuando haya expirado el plazo o plazos establecidos por el Cliente, o (ii) a petición expresa del Cliente, o (iii) a petición documentada de un Titular.(iii) a la finalización del Contrato (sin perjuicio de los plazos adicionales necesarios a efectos de prueba o prescripción), una vez que los Datos Personales en cuestión hayan sido devueltos al Cliente.
Sin perjuicio de lo anterior, tras (i) la rescisión del Contrato, o (ii) en cualquier momento previa solicitud por escrito del Cliente, Kosmos eliminará y obtendrá la eliminación por parte de su(s) Subcontratista(s) posterior(es) de todas las copias de los Datos Personales en cuestión.(ii) en cualquier momento previa solicitud por escrito del Cliente, Kosmos suprimirá y procurará la supresión por parte de su(s) Subcontratista(s) de todas las copias de los Datos Personales del Cliente, o previa solicitud específica por escrito, de cualquiera de dichos Datos Personales.
14. 14. Alcance de la responsabilidad
Como Responsable del Tratamiento, es responsabilidad del Cliente informar a los Interesados de su Tratamiento (ya sea realizado directamente por sus usuarios a través de la Solución o correspondiente a los Servicios encomendados a Kosmos) sobre (i) los Datos Personales recogidos, (ii) el Tratamiento realizado, (iii) las Finalidades perseguidas, (iv) las bases jurídicas en las que se fundamenta el Tratamiento, (v) cualesquiera terceros Destinatarios de los Datos Personales, y (vi) los derechos y obligaciones del Interesado.(iii) los Fines perseguidos, (iv) la base jurídica en la que se basa el Tratamiento, (v) cualquier tercero Destinatario de los Datos Personales, y (vi) cualquier otra información debida a los individuos en virtud de los artículos 13 o 14 del GDPR, incluido un recordatorio de los derechos que tienen con respecto a sus Datos Personales y los datos de contacto para hacerlos valer. El responsable del tratamiento es el único responsable de determinar los métodos de difusión y la eficacia de esta información. Cuando proceda, comunicará los mensajes informativos a Kosmos para su publicación en cualquier solución que se proporcione.
En cualquier caso, es responsabilidad del Cliente, como Responsable del Tratamiento, asegurarse de que el Tratamiento de los Datos Personales que confía a Kosmos, y más en general el Tratamiento de sus propios Datos Personales, cumple con la Normativa.Kosmos no será responsable de ninguna pérdida o daño que surja de o en relación con el tratamiento de Datos Personales. Kosmos no acepta ninguna responsabilidad por el cumplimiento del Responsable del Tratamiento más allá del ámbito de los Servicios cubiertos por el Acuerdo.
En este sentido, es responsabilidad del Cliente como Controlador de Datos (i) recopilar los Datos Personales bajo su propia responsabilidad, garantizando que sean estrictamente necesarios y proporcionados a los Fines para los que se recopilan, (ii) garantizar que los Datos Personales recopilados sean exactos y completos, y(ii) asegurarse de que se han recogido de acuerdo con una base legal probada (y, en su caso, que han sido objeto de los consentimientos necesarios, cuya prueba conserva el Cliente), (iii) asegurarse de que se han recogido de acuerdo con una base legal probada (y, en su caso, que han sido objeto de los consentimientos necesarios, cuya prueba conserva el Cliente).(iv) documentar todas las instrucciones dadas a Kosmos en relación con los Datos Personales, (v) asegurarse de que Kosmos y el Cliente son plenamente conscientes de la naturaleza y el alcance de los Datos Personales en poder de Kosmos.(iv) documentar todas las instrucciones dadas a Kosmos en relación con los Datos Personales, (v) asegurarse de que Kosmos cumple con sus obligaciones normativas durante toda la vigencia del Acuerdo, y (vi) supervisar la realización del Tratamiento en su nombre.
Kosmos sólo podrá ser considerado responsable de los daños causados directamente por un incumplimiento por parte de Kosmos de sus obligaciones como Subcontratista, o si Kosmos ha actuado al margen o en contra de las instrucciones del Cliente de conformidad con la Normativa.
Si Kosmos es multado, condenado o sufre de otro modo pérdidas o daños (i) como resultado de un incumplimiento por parte del Controlador de sus obligaciones en virtud del Reglamento, o (ii) como resultado de una instrucción a Kosmos, en particular si el Cliente ha incumplido alguna de dichas instrucciones. Kosmos, en particular si la instrucción conduce al incumplimiento de la Normativa por parte del Tratamiento confiado a Kosmos, el Responsable se compromete a indemnizar a Kosmos por cualquier multa, condena o pérdida sufrida.
15. Registro de operaciones de tratamiento y designación del RPD
Cada una de las Partes se compromete a inscribir los Tratamientos objeto de los Servicios en un registro de Tratamientos. Kosmos indicará en su registro el Tratamiento que lleva a cabo en nombre y por cuenta del Cliente de conformidad con los requisitos del artículo 30, 2° del GDPR. El Cliente es responsable de su propio registro de Tratamiento de conformidad con los requisitos del artículo 30, 1º del GDPR.
El nombramiento de los RPD de las Partes se establece en el subanexo 1.